淺談密碼的危險性與TW FIDO
最近在FB上常常看到TW FIDO以及無密碼登入逐漸浮上檯面,這也是數位部近期在力推的專案之一,甚至我們可以看到新聞說數位部已經完全捨棄了密碼,在數位部內只能用自然人憑證或行動自然人憑證登入。
而在某些科技專欄的留言下則可以看到很多人對於為什麼要捨棄密碼抱持著一個很懷疑的態度,其實這個想法很好理解,密碼作為一個從小到大非常慣用的登入手段,為何突然被說危險而開始禁用,是需要一個完整的解釋的。
關於密碼的危險其實顯而易見,大部分人的習慣都是固定用一至二組密碼,密碼強度依網站而定,多半都是同一組密碼換大小寫、或是在前後加個符號。對於密碼的設定上,有的人會用自己的名字,有的人會取簡單的用法,照著鍵盤打一輪就是密碼,我們這時候可以靜下心來想想,這些會不會很容易被人猜到? 又或是說如果一個網站的密碼洩漏的話,其他網站會不會跟著被盜? 這些答案是很顯而易見的。
下面會簡單分段說明密碼的危險性,如何去規避密碼的風險,以及現在在風頭浪尖上的”無密碼登入”、唐鳳力推的”TW FidO”又是什麼。
密碼不見得不安全,但我們的使用習慣注定了密碼的安全性一定很有限
在我們的生活中有數不清楚的網站需要用帳號密碼登入,這種模式注定了密碼一定是會大量重複的,如同下面這張梗圖一樣,常常是自己覺得用了一樣的密碼,但有時候一些特殊的條件限制導致密碼不但重複、還常常導致自己登入失敗。
這是人之常情,也是密碼危險的地方之一,密碼作為一個歷史悠久的登入手段,為什麼能沿用到現在是因為非常方便,只要記住一組密碼,就可以簡單地知道是不是你這個人正在登入,也正是因為這個方便性,導致了非常多的問題。
只要一個密碼漏了,其他都跟著漏光光?
就如同先前的文章 - 用godjj的steam帳號被盜事件淺談個人資安防治 中表示的,在資安問題層出不窮的當下,網站的密碼本身實在是太容易洩漏、也太容易被別人獲取,光是最近就聽到和運、戶政資料、博客來等等等等。
從種種跡象可以大概率判斷是信箱被盜走所引起的一系列攻擊手法,攻擊者只需要拿到信箱就可以登入你帳號關聯的所有其他服務。
拿到信箱的方法有很多,坊間有很多帳號洩漏的檔案,基本上有心人士都找得到。我建議各位可以頻繁地查看自己的密碼是否有外洩,網站有很多,例如: https://haveibeenpwned.com/
這一連串的使用者習慣的連鎖反應容易造成除了那個被洩漏的網站被有心人士登入之外,其他種種的網站也容易遭人惡意登入。
密碼太簡單了,被猜出來只是時間問題!
我知道就我身邊的人來說,很多人的密碼都是qazwsxed123456或是qwert258這種照鍵盤排序出來的密碼,我們簡單看一下很有名的密碼洩漏的清單rockyou.txt,包含qaz這種密碼的其實就已經非常多,更何況這份文字已經有十幾年的歷史。
意思是,有心人士只要在不斷的在網站上測試密碼,這些簡單的密碼就是最容易被試出來的那些。接著又可以回到上一篇,只要一個密碼被拿到了,其他網站都會跟著一一被盜。
既然密碼這麼危險,那要怎麼辦?
輾轉聊到了本篇文章說的重點,密碼作為一個不是特別保險的驗證手段,有很多人跟組織在試著如何緩解密碼帶來的威脅,關於密碼的緩解手段,筆者目前還是推薦使用密碼管理器,除了現在瀏覽器都有內建的之外,也可以採用1Password或是BitWarden等等,這些密碼管理器可以自動生成高強度的密碼,也可以很輕鬆地自動把密碼填入。
在密碼管理器之餘,也可以用2FA的二階段驗證,運用廠商提供的二階段驗證碼,也可以有一個進一步的保障。
講這麼多,跟唐鳳亂花錢有什麼關係
這邊就要來提到FidO了,FidO的意思是Fast IDentity Online,也就是線上快速身分驗證的意思,FIDO是一個組織,旨在叫大家如何不用密碼登入,他們也提供了很多個完整的架構讓企業可以導入FIDO的驗證機制,以達成”免密碼登入”
台灣政府則是在FidO的架構下導入了驗證,讓我們可以快速且免密碼的登入政府機關的服務,這被稱作TW FidO。
不用密碼要怎麼登入? 他們怎麼知道是我本人?
FIDO有很多個驗證機制,其中目前最多人採用的是手機上的生物特徵驗證。也就是比起用密碼,這邊是改用我們自己的生物特徵進行驗證,除了比較安全之外,生物特徵也是儲存在手機裡面的,不會跑到伺服器上面去。
如果想知道更深入的話,可以參考這篇文章
FIDO 是什麼?
FIDO 是指由同名的非營利組織 FIDO 聯盟所訂定的一套網路識別標準,意在確保登入流程中伺服器及終端裝置協定的安全性。而這套識別標準透過公開金鑰加密(Public Key Cryptography)的架構進行多重因素驗證(MFA)以及生物辨識登入來強力且嚴密地保護雲端帳號的個資。
這個有比密碼安全嗎? 萬一有人拿到我的手機怎麼辦?
有沒有比密碼安全取決於很多狀況,例如說你把一大串很複雜的密碼記在腦海裡,只有你自己能輸入,而手機驗證的話搞不好有人在你睡夢中拿你的指紋去壓密碼就能登入了(?)
好啦,玩笑話說到這裡,其實這個服務為什麼好的原因是因為他風險低、速度快,FIDO最簡單的登入模式之一就是拿起手機掃描faceID/指紋,就可以簡單的登入,這有幾個好處:
- 不用記憶密碼
- 每一個網站的登入都是獨立的,不用擔心重複利用
- 生物特徵(私鑰)儲存於本地,難以被偷(不同於密碼儲存於伺服器)
這是一個與密碼不太相同的驗證機制,如果有用過伺服器的同學可以理解為這跟SSH的公私鑰機制有點類似,任何人只要存取不到手機內的私鑰就沒有辦法去破解公鑰。而手機內的私鑰非常難以被外界拿取。
TW FIDO?
前面講了這麼多,終於有辦法來聊聊TW FIDO了,TW FIDO又稱為行動自然人憑證,是一個在網站上驗證自己身分的簡便方式。
以往我們如果鑰登入政府機關的網站,驗證自己的身分就要在電腦上用讀卡機插自然人憑證,有時候可以插健保卡,現在數位部導入了FIDO,也就是快速登入的驗證模式,流程就會變成:
- 先用自然人憑證驗證說,這台手機是你本人
- 從今以後就可以用手機來當作自然人憑證登入,不用再插卡了
這個解決了不少問題,自然人憑證麻煩的點在於隨時要拿讀卡機出來插卡實在太累了。但是不拿讀卡機驗證的話網站很難知道這個是你本人,手機號碼的驗證也沒有自然人憑證來的值得信賴。
藉由導入了FIDO就可以解決麻煩這個大痛點,只要我們用自然人憑證驗證手機之後,就會確認手機上是我們本人,即可用手機去連線政府的FIDO伺服器以達成安全的驗證模式。
我們可以看到政府是如何運用TW FIDO的,這是財政部的網站,只要我們輸入一些基本資訊,不用密碼,就可以利用我們手機上的QRcode進行FidO的驗證。
對於這項服務我是很喜歡的,雖然我用到的情況真的很少,但很樂見數位部帶頭來捨棄密碼這個很不安全的服務,也私心的冀望下一個被捨棄掉的可以是印章,我實在搞不懂印章存在的價值是什麼。
結語
這篇文章從密碼的不安全性一路講到了FIDO是如何進行快速驗證以及TW FIDO的用處,TW FIDO作為一個很新穎的驗證手段可以解決政府容易被駭客惡意登入的痛點,很樂見政府有相關的機制在處理密碼這個千古難題,也期待數位部能有後續的機制可以解決像是民眾資料被惡意取用等等的社會議題。
文章同步發表於粉專:PP學習筆記
歡迎留言訂閱分享,如果文章內有問題、疏漏或有相關議題也歡迎來信、來訊、留言討論
